Java 组件漏洞:针对 OSGi 平台的实验分类
密码学与安全
2011-11-10 v3 操作系统
摘要
OSGi 平台在两个不同的应用领域引起了越来越多的关注:嵌入式系统和应用服务器。然而,该平台的安全属性很少被研究,这可能会阻碍其在生产系统中的使用。这一点尤为重要,因为基于 OSGi 的应用程序具有动态特性,可以在运行时进行扩展,使其容易受到恶意代码注入的攻击。因此,我们对 OSGi 平台进行了系统审计,以构建一个漏洞目录,旨在引用源自核心规范以及与 Java 语言使用相关行为的 OSGi 漏洞。标准服务不在考虑范围内。为了支持此次审计,定义了一种半形式化的漏洞模式,该模式能够唯一地表征每种漏洞的基本属性,在模式中包含详细描述,引用已知的安全防护措施,并跟踪利用该漏洞的概念验证 OSGi Bundles 的实现状态。基于对该目录的分析,构建了一个稳健的 OSGi 平台,并提出了增强 OSGi 规范的建议。
引用
@article{arxiv.0706.3812,
title = {Java Components Vulnerabilities - An Experimental Classification Targeted at the OSGi Platform},
author = {Pierre Parrend and Stéphane Frénot},
journal= {arXiv preprint arXiv:0706.3812},
year = {2011}
}